„MuddyWater“ klaidingos vėliavos išpirkos reikalaujančios programinės įrangos ataka
Irano valstybės remiama grėsmių grupuotė „MuddyWater“, taip pat sekama tokiais slapyvardžiais kaip „Mango Sandstorm“, „Seedworm“ ir „Static Kitten“, buvo susieta su sudėtinga išpirkos reikalaujančios programinės įrangos kampanija, kurią tyrėjai apibūdina kaip melagingą vėliavos operaciją. Nors iš pradžių įsilaužimas priminė veiklą, susijusią su įprasta išpirkos reikalaujančios programinės įrangos kaip paslaugos (RaaS) operacija, naudojant išpirkos reikalaujančios programinės įrangos prekės ženklą „Chaos“, išsamesnė analizė atskleidė charakteristikas, būdingas tikslinei valstybės remiamai kibernetinei atakai, užmaskuotai kaip finansiškai motyvuotas turto prievartavimas.
Ši operacija, nustatyta 2026 m. pradžioje, daugiausia rėmėsi socialine inžinerija per „Microsoft Teams“. Užpuolikai su aukomis rengė itin interaktyvius bendravimo seansus, pasinaudodami ekrano bendrinimo funkcija, kad surinktų prisijungimo duomenis ir manipuliuotų daugiafaktorio autentifikavimo procesais. Gavę prieigą, grėsmių kūrėjai atsisakė tradicinių išpirkos reikalaujančių programų taktikų, tokių kaip didelio masto failų šifravimas, ir vietoj to sutelkė dėmesį į duomenų vagystes, slaptą duomenų išsaugojimą ir ilgalaikę prieigą prie tinklo naudojant nuotolinio valdymo programas.
Turinys
Kibernetinių nusikaltimų sritys, naudojamos valstybės operacijoms nuslėpti
Tyrėjai mano, kad kampanija atspindi sąmoningas „MuddyWater“ pastangas nuslėpti kaltininkų priskyrimą, pasitelkiant įrankius ir metodus, dažniausiai siejamus su kibernetinėmis nusikalstamomis ekosistemomis. Grupė vis dažniau į savo veiklą integruoja komerciškai prieinamas pogrindines kenkėjiškas programas ir nuotolinės prieigos sistemas, įskaitant tokias priemones kaip „CastleRAT“ ir „Tsundere“.
Ši taktika atitinka ankstesnes „MuddyWater“ kampanijas, kuriose šnipinėjimas ir destruktyvi veikla buvo derinami su išpirkos reikalaujančios programinės įrangos tipo operacijomis. 2020 m. grupuotė taikėsi į dideles Izraelio organizacijas, naudodama „PowGoop“ įkroviklį, kad dislokuotų destruktyvų išpirkos reikalaujančios programinės įrangos „Thanos“ variantą. 2023 m. „Microsoft“ susiejo grupę su DEV-1084, veikėju, susijusiu su „DarkBit“ personažu, per atakas, užmaskuotas kaip išpirkos reikalaujančios programinės įrangos incidentai. Iki 2025 m. pabaigos su Iranu susiję operatoriai taip pat buvo įtariami panaudoję „Qilin“ išpirkos reikalaujančią programinę įrangą prieš Izraelio vyriausybinę ligoninę.
Saugumo tyrėjai padarė išvadą, kad naujausioje kampanijoje greičiausiai dalyvavo su Iranu susiję operatoriai, veikiantys per nusistovėjusias kibernetinių nusikaltimų infrastruktūras ir siekiantys platesnių geopolitinių tikslų. „Qilin“ naudojimas ir dalyvavimas išpirkos reikalaujančių programų filialų ekosistemose greičiausiai suteikė operacinę priedangą, tikėtiną paneigimą ir prieigą prie brandžių atakų pajėgumų, tuo pačiu padėdamas užpuolikams išvengti sustiprintos Izraelio gynybinės stebėsenos.
Chaos RaaS: auganti turto prievartavimo ekosistema
„Chaos“ atsirado 2025 m. pradžioje kaip išpirkos reikalaujančių programų kaip paslaugos operacija, žinoma dėl agresyvios dvigubo turto prievartavimo taktikos. Grupė reklamavo savo partnerių programą pogrindiniuose kibernetinių nusikaltimų forumuose, tokiuose kaip RAMP ir „RehubCom“, ir sparčiai išplėtė savo veiklos mastą.
Chaotiškos kampanijos dažnai apjungia el. pašto užtvindymą, balso sukčiavimą ir „Microsoft Teams“ apsimetinėjimo atakas, kurių metu grėsmės skleidėjai apsimeta IT palaikymo personalu. Aukos manipuliuojamos, kad įdiegtų nuotolinės prieigos programas, tokias kaip „Microsoft Quick Assist“, kurios leidžia užpuolikams įsitvirtinti įmonės aplinkoje, prieš didinant privilegijas, pereinant į kitas sritis ir diegiant išpirkos reikalaujančias programas.
Grupė taip pat demonstravo vis agresyvesnius turto prievartavimo modelius:
- Dvigubas turto prievartavimas vagiant duomenis ir reikalaujant išpirkos
- Trigubas turto prievartavimas, susijęs su paskirstytųjų paslaugų teikimo trikdymo (DDoS) atakų grėsmėmis
- Keturių kartų vykdoma turto prievartavimo taktika, apimanti grasinimus susisiekti su klientais, partneriais ar konkurentais, siekiant sustiprinti spaudimą aukoms.
Iki 2026 m. kovo mėn. „Chaos“ savo informacijos nutekinimo platformoje pareikalavo 36 aukų, dauguma jų buvo įsikūrusios Jungtinėse Valstijose. Statybos, gamybos ir verslo paslaugų sektoriai buvo tarp labiausiai taikinių sulaukusių pramonės šakų.
Įsiveržimo anatomija
Tiriamo įsilaužimo metu užpuolikai inicijavo išorinius „Microsoft Teams“ pokalbius su darbuotojais, siekdami įgyti pasitikėjimą ir paskatinti ekrano bendrinimo seansus. Pavojingos vartotojų paskyros buvo panaudotos žvalgybai, duomenų atkūrimui, horizontaliam judėjimui ir duomenų nutekėjimui.
Prisijungę prie aukos sistemų, užpuolikai vykdė žvalgybos komandas, pasiekė su VPN susijusius failus ir nurodė vartotojams rankiniu būdu įvesti prisijungimo duomenis į vietoje sukurtus tekstinius dokumentus. Keliais atvejais buvo įdiegta „AnyDesk“, siekiant sustiprinti nuotolinės prieigos galimybes.
Be to, kenkėjiškos programos veikėjai, naudodami nuotolinio darbalaukio protokolą (RDP), iš išorinio serverio adreso 172.86.126.208 nuskaitė vykdomąjį failą pavadinimu „ms_upd.exe“, naudodami „curl“ programą. Paleidusi kenkėjiška programa inicijavo daugiapakopę užkrėtimo grandinę, skirtą diegti papildomus kenkėjiškus komponentus ir užmegzti nuolatinį komandų ir valdymo ryšį.
Kampanijos kenkėjiškų programų arsenalas
Užkrėtimo grandinėje buvo keli skirtingi kenkėjiškų programų komponentai, kurie veikė kartu, kad išlaikytų virusų plitimą ir vykdytų nuotolines komandas:
- „ms_upd.exe“ („Stagecomp“) surinko sistemos informaciją ir susisiekė su komandų ir valdymo serveriu, kad atsisiųstų antrinius paketus, įskaitant „game.exe“, „WebView2Loader.dll“ ir „visualwincomp.txt“.
- „game.exe“ (Darkcomp) veikė kaip pasirinktinis nuotolinės prieigos Trojos arklys, maskuojantis kaip teisėta „Microsoft WebView2“ programa, pagrįsta oficialiu „WebView2APISample“ projektu.
- „WebView2Loader.dll“ veikė kaip teisėta priklausomybė, reikalinga „Microsoft Edge WebView2“ funkcijoms
- „visualwincomp.txt“ buvo užšifruoti konfigūracijos duomenys, kuriuos RAT naudojo komandų ir valdymo infrastruktūrai identifikuoti.
Aktyvuotas nuotolinės prieigos Trojos arklys nuolat bendravo su savo komandų serveriu kas 60 sekundžių, leisdamas operatoriams vykdyti „PowerShell“ scenarijus, sistemos komandas, manipuliuoti failais ir kurti interaktyvias komandinės eilutės sesijas.
Įrodymai, siejantys operaciją su „MuddyWater“
Priskyrimas „MuddyWater“ buvo sustiprintas atradus su „Donald Gay“ susijusį kodo pasirašymo sertifikatą, kuris buvo panaudotas pasirašyti kenkėjiškos programos „ms_upd.exe“ pavyzdį. Tas pats sertifikatas anksčiau buvo susietas su „MuddyWater“ kenkėjiška programa, įskaitant „CastleLoader“ atsisiuntimo programos variantą, žinomą kaip „Fakeset“.
Tyrėjai atkreipė dėmesį, kad operacija parodė reikšmingą valstybės remiamos šnipinėjimo veiklos ir kibernetinių nusikaltėlių operacinių metodų konvergenciją. Išpirkos reikalaujančių programų prekės ženklo kūrimo, turto prievartavimo derybų ir komerciškai prieinamų kenkėjiškų programų sistemų integravimas apsunkino priskyrimo pastangas ir nukreipė gynybinį dėmesį į neatidėliotiną reagavimą į išpirkos reikalavimą, o ne į ilgalaikius mechanizmus, sukurtus naudojant nuotolinės prieigos įrankius.
Kodėl ataka išsiskyrė
Vienas neįprasčiausių kampanijos aspektų buvo akivaizdus plačiai paplitusio failų šifravimo nebuvimas, nepaisant „Chaos“ išpirkos reikalaujančių programų artefaktų naudojimo. Šis nukrypimas nuo standartinio išpirkos reikalaujančių programų veikimo rodo, kad išpirkos reikalaujančių programų komponentas pirmiausia veikė kaip maskuotė ar operacinis klaidinimas, o ne pagrindinis misijos tikslas.
Kampanija taip pat pabrėžia augantį polinkį tarp Irano grėsmės veikėjų įtraukti kibernetinių nusikaltimų įrankius į valstybės vadovaujamas operacijas. Pasinaudodamos esama pogrindine infrastruktūra ir kenkėjiškų programų ekosistemomis, tokios grupuotės kaip „MuddyWater“ įgyja didesnį operacinį lankstumą, sumažina vidines kūrimo išlaidas ir gerokai apsunkina tiek gynėjų, tiek žvalgybos analitikų priskyrimo procesą.
